Usable Access Control

Beckerle, Matthias (2014)
Usable Access Control.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

Preview

Text
Diss86.pdf
Copyright Information: CC BY-NC-ND 2.5 Generic - Creative Commons, Attribution, NonCommercial, NoDerivs .
Download (4MB) | Preview

Item Type:

Ph.D. Thesis

Type of entry:

Primary publication

Title:

Usable Access Control

Language:

English

Referees:

Mühlhäuser, Prof. Dr. Max ; Bauer, Prof. Dr. Lujo

Date:

2014

Place of Publication:

Darmstadt

Date of oral examination:

19 December 2013

Abstract:

The research described in this work can significantly simplify and facilitate the creation and configuration of secure access control rule sets.

Access control is used to provide confidential data or information only to authorized entities and deny access otherwise. Access control mechanisms can be configured with access control rule sets that need to be created and maintained by the users or administrators.

The research commences by answering the first research question:

1. How can access control be integrated into future products?

Basic concepts are presented and integrated into a holistic design. The latter is embedded into a general framework, which was developed by an academia-industry consortium, and in which the author participated.

Questions arise regarding usability aspects of access control mechanisms. An analysis of security services in the beginning of this dissertation shows that, especially for access control mechanisms that are managed by casual users, a high level of usability is required because individual preferences of the data owner have to be taken into account.

Analysis of how the core security objectives (see Section [sec:Core-Security-Principles]) can be achieved identifies a usability gap regarding the generation and configuration of access control rule sets. Automation is not fully possible because individual preferences of users need to be considered.

Related research questions are:

2. What are the requirements for usable access control rule sets?

3. What are formally founded quantifiable measurements for those requirements, and how can these measurements be used to support users in generating of usable access control rule sets?

To answer these questions, a systematic analysis of expert opinions and related work was performed. The results of that analysis were grouped into categories and further refined into six informal requirements. The six informal requirements were mathematically formalized and six associated sets with respective linear metrics were derived. These formal tools are used to automatically calculate additional information about the actual access control rule set to support users in generating and optimizing the rule set properly. Two user studies were carried out to validate and evaluate the research and the findings presented in this work. They demonstrate that our metrics help users generate statistically significant better rule sets.

The dissertation concludes with an outlook and a vision for further research in usable access control rule set configuration.

Alternative Abstract:

Alternative Abstract

Language

Die in dieser Dissertation dargestellte Forschung erleichtert wesentlich die Erstellung und Konfiguration von sicheren Zugriffskontrollregeln. Zugriffskontrolle wird benötigt um sicherzustellen, dass nur autorisierte Entitäten auf vertrauliche Daten oder Informationen zugreifen können. Zugriffskontrollmechanismen können mit Hilfe von Zugriffskontrollregelsätzen konfiguriert werden, welche von Administratoren oder Benutzern erstellt und gewartet werden müssen.

Diese Forschungsarbeit beginnt mit dem Beantworten der einleitenden Forschungsfrage:

1. Wie kann Zugriffskontrolle in zukünftige Produkte integriert werden?

Hierfür werden grundlegende Konzepte vorgestellt und in ein ganzheitliches Design integriert. Im Anschluss sind diese Konzepte in ein Programmiergerüst integriert worden, welches von einem Team aus akademischen und industriellen Partnern erstellt wurde, zu welchem auch der Autor gehörte.

Fragestellungen bezüglich der Benutzbarkeit von Zugriffskontrollmechanismen werden erörtert. Eine Analyse von Sicherheitsdiensten zu Beginn dieser Dissertation zeigt, dass insbesondere Zugriffskontrollmechanismen, welche von nicht professionellen Nutzern betreut werden, ein hohes Maß an Benutzbarkeit benötigen, da individuelle Präferenzen der Datenbesitzer berücksichtigt werden müssen.

Analysen, welche sich damit befassen, wie grundlegende Sicherheitsziele erreicht werden können, zeigen, dass die Erstellung und Konfiguration von Zugriffskontrollregelsätzen schwierig sein kann, da eine vollständige Automatisierung hier nicht möglich ist, da die individuellen Präferenzen der Benutzer berücksichtigt werden müssen.

Die zugehörigen Forschungsfragen lauten:

2. Was sind die Anforderungen an benutzbare Zugriffskontrollregelsätze?

3. Was sind formal fundierte und quantifizierbare Messwerte für solche Anforderungen, und wie können diese Messwerte Benutzern helfen, benutzbare Zugriffskontrollregelsätze zu generieren?

Um diese Fragen zu beantworten wurde eine systematische Analyse sowohl von Expertenmeinungen als auch von verwandten Arbeiten durchgeführt. Die Resultate dieser Analyse wurden kategorisiert und zu sechs informellen Anforderungen für sichere und benutzbare Zugriffskontrollregelsätze weiterentwickelt. Diese sechs informellen Anforderungen werden mathematisch formalisiert und zu sechs linearen Metriken konsolidiert. Diese formellen Werkzeuge werden genutzt, um automatisiert Zusatzinformationen zu berechnen, welche Benutzer darin unterstützen können, Regelsätze zu erstellen und zu konfigurieren. Zwei Benutzerstudien wurden zur Validierung und Evaluierung der Forschung und der Resultate dieser Arbeit durchgeführt. Sie zeigen, dass die hier vorgestellten formellen Werkzeuge Benutzer darin unterstützen, signifikant bessere Regelsätze zu generieren.

Diese Dissertation schließt mit einem Ausblick und einer Vision für zukünftige Forschung im Bereich der benutzbaren Zugriffskontrollregelsatzkonfiguration.

German

Uncontrolled Keywords:

Benutzbarkeit, Informationssicherheit, Zugriffskontrolle, Formalisierung

Alternative keywords: